Justis- og beredskapsdepartementet ber i proposisjonen om Stortingets samtykke til godkjenning av to beslutninger i EØS-komiteen. I tillegg foreslås det i proposisjonen en ny lov om digital sikkerhet. Det vises til egen innstilling om lovsaken.

EØS-komiteen fattet to beslutninger 3. februar 2023 om innlemmelse i EØS-avtalen av NIS-direktivet, gjennomføringsforordningen til NIS-direktivet og cybersikkerhetsforordningen. Beslutningene ble fattet med forbehold om Stortingets samtykke, da gjennomføringen i norsk rett nødvendiggjør lovendring, jf. Grunnloven § 26 annet ledd. Stortinget inviteres gjennom denne proposisjonen til å samtykke i godkjenning av EØS-komiteens beslutning.

Rettsaktene er en del av EUs cybersikkerhetsstrategi, som har som formål å sikre et globalt og åpent internett med sterkt vern mot risiko for at grunnleggende rettigheter og friheter i Europa kan bli truet. Et styrket samarbeid i EUs regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av én stat alene.

Nettverks- og informasjonssystemer er forbundet med hverandre, og store forstyrrelser i ett land kan få konsekvenser for andre land. Nettverks- og informasjonssystemers robusthet og stabilitet, samt kontinuiteten i de sentrale tjenestene, er avgjørende for et velfungerende indre marked og særlig for det digitale indre markeds videreutvikling.

Både NIS-direktivet og cybersikkerhetsforordningen har som hovedformål å forbedre det indre markeds funksjon. NIS-direktivet har direkte innvirkning på berørte tilbyderes rammevilkår og indirekte for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir bedret.

Gjeldene forordning om ENISA (som erstattes av cybersikkerhetsforordningen) er en del av EØS-avtalen og i dag gjennomført i ekomregelverket. Erfaringen fra arbeidet i ENISA er at byrået bidrar med viktige innsikter og bidrag innen digital sikkerhet som det ut fra et norsk standpunkt er ønskelig å delta i og være med på å forme.

Sertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser vil etter forordningen inntil videre være frivillig. Innen en viss tid skal EU-kommisjonen ha gjort en første vurdering av hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske. Det vil i første omgang være snakk om sektorer som er omfattet av NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet av krav om sertifisering av IKT-produkter, IKT-tjenester eller IKT-prosesser. Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig.

Forslag til lov om digital sikkerhet med tilhørende forskrifter vil gjennomføre NIS-direktivet. Gjennomføringsforordningen og cybersikkerhetsforordningen vil tas inn i norsk rett i sin helhet ved inkorporering i forskrift med hjemmel i forslag til ny lov om digital sikkerhet.